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Introducción 





"= Lasredes wireless son cada día más populares. 


"= La popularidad de esta tecnología se debe a varios factores: 
"= Cobertura geográfica 
= Simplicidad de implementación 
"= Costo 


"= Una red de área local wireless (WLAN) permite a los trabajadores 
acceder a los recursos informáticos sin necesidad de tener que 
estar en sus escritorios. 


Introducción (Cont.) 





Las redes inalámbricas agregan otro punto de ataque a la red 
corporativa. 


Dado que es una tecnología relativamente nueva, todavía hay 
muchos puntos para mejorar. 


Debido a la naturaleza de las ondas RF y a la rápida penetración de 
esta tecnología en las redes hogareñas y corporativas, existe una 
gran cantidad de vulnerabilidades y explolts para las mismas. 


Introducción (Cont.) 





La mayoría de las WLANSs está basadas en el estándar IEEE 802.11 
y derivados, como por ejemplo 802.11a, 802.11b, 802.11g y 
802.11n. 


En un principio este estándar solo incluía el protocolo de seguridad 
WEP, el cual era muy limitado y fue explotado con facilidad. 


Para paliar estas debilidades, el IEEE desarrolló la norma 802.111 
orientada a cubrir las necesidades de seguridad que las redes 
wireless demandaban. 


Introducción (Cont.) 





Pero mientras este se desarrollaba, se intentó mejorar el estándar 
anterior para cubrir la brecha entre el estándar original y la nueva 
norma. 


La WIFI Alliance creó estadíos de seguridad intermedios conocidos 
como WPA (WIFI Protected Access) y WPA2 desarrollados ambos 
para cubrir dicha brecha hasta que el estándar 802.111 estuviese 
aprobado como estándar por IEEE. 


Tecnologías Wireless: Clasificación 





"= Según el alcance, pueden clasificarse en: 
" WPAN- Wireless Personal Area Network (alcance < 10m) 
= Bluetooth/Infrarrojo 


= WLAN -— Wireless LAN Posicionam lento de Estándares 
Wireless 


= WiFi (802.11) 
= WiMax (802.16) (MAN) 
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Tecnologias Wireless: Clasificación (Cont.) 





" Por el tipo de acceso, se pueden clasificar en: 
"= Modo Ad-Hoc 
"= Modo Infraestructura 
"= Múltiples puntos de acceso 


Modo Ad-Hoc 





"= Modo Ad-Hoc - También llamadas Independent Basic Service Set 
(IBSS) 


"= Se establece una conexión entre dos equipos directamente 


"= Funcionamiento independiente mientras estén dentro del área que 
cubre cada uno 


"=  Gada cliente tendría únicamente acceso a los recursos de otro 
cliente pero no a un servidor central 


Modo Infraestructura 





"= Modo Infraestructura - También 
llamadas Basic Service Set (BSS) 


"= Un Access Point (AP) puede aumentar 
el rango de comunicación, ya que 
también actúan como repetidores 


" Desde que el Access Point se conecta a 
la red cableada cualquier cliente que 
tenga acceso a los recursos del servidor 
puede acceder al mismo 





"= Cada Access Point puede servir a 
varios clientes 


Multiples Puntos de Acceso 





"= Multiples puntos de acceso - También llamada Extended Service 
Set (ESS) 


"= Los AP tienen un rango finito 
"= Alrededor de 150m en lugares cerrados y 300m en zonas abiertas 


"= Para cubrir zonas más amplias se necesitan varios AP 





"= Elobjetivo es cubrir el área 
con celdas que solapen sus 
áreas para poder moverse 
sin cortes (Roamming) 


Estándar IEEE 802.11 





a ¡EEE 5002.11 - The original 1 Mbit's and + Mbit's, 44 GHz RF and IK standard (1999) 

a ¡EEE 002. 11a - 54 Mbit's, 5 GHz standard (1999, shipping products mn 4001) 

a ¡EEE 002.11b - Enhancements to 60.24.11 to support 5.5 and 11 Mbit's (1999) 

Ñ [EEE 604. 11c - Bridge operation procedures; included in the IEEE 604.10 standard (4001) 
a [EEE 560%. 11d - International (country-to-country) roaming extensions (4001) 

a |EbtE 004. 11e - Enhancements: QoS, including packet bursting (2005) 

a |EEE 602. 11F - Inter-Access Pomt Protocol (400,3) 

a ¡EEE 0024. 11q - 54 Mbit's, 24 GHz standard (backwards compatible with b) (2005) 

a |JEEE 602 11h - Spectrum Managed 602 11a (5 GHz) for European compatibility (2004) 
Ñ [EEE 602.11 - Enhanced secunty (4004) 

a [EEE 002.11; - Extensions tor Japan (4004) 

a |EEE 602. 11k - Radio resource measurement enhancements 

a ¡EEE 002.11) - (reserved, typologically unsound) 

a |EEE 602. 11m - Maintenance of the standard; odds and ends. 

a ¡EEE 602.14n - Higher throughput improvements 

s | JEEE 602.110 - (reserved, typologically unsound) 

a [EEE 60% 11p - WAVE - Wireless Access for the Wehicular Environment (such as ambulances and passenger cars) 
a |EFE 602. 11q - (reserved, typologically unsound, can be confused with 502 1q VLAN trunking) 

a [EEE 60% 111 - Fast roaming 

a |EEE 602 11s - ESS Mesh Networking 

a |[EtE 004.111 - Wireless Performance Prediction (WPP) - test methods and metrics 

Ñ [Erre 602.11u - Interworking with non-60. networks (e.q., cellular) 

a [EEE 002.11v - Wireless network management 

a [EEE 602.11 - Protected Management Frames 
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Dispositivos Wireless 





"= Access Point 
"= Bridges / Repetidores 
"= Wireless card 
"= PCI 
= PCMCIA 
" USB Dongles 
"= Antenas 
" Yagl 
"= Parabólicas 
"= Dipolos 


Access Point (AP) 





"= Esel punto de acceso de las redes en modo Infraestructura 


"= Forma una red Inalámbrica interconectando distintos dispositivos 
wireless. 


"= Permite conectarse a otro AP y extender el área de cobertura 
(Roamming). 


" Poseen direcciones IP para ser configurados 


"= Dependiendo el tipo de antena, cubren desde varios metros 
hasta varios kilómetros. 


Bridges/Repetidores 





"= Seutilizan para unir dos áreas separadas 
"= La mayoría de los AP tienen funciones de Bridge/Repetidores 









NS 
DO —u 1) (0 


Cable modem WBR 
2549 





WI OT (0 E 


Son los dispositivos que se conectan en el equipo cliente 
Pueden ser: 

" PCMCIA 

"= PC] 

"= Adaptadores USB 


Algunos tienen la posibilidad de agregar una antena externa 








"= Hay varios tipos de clasificaciones 
"= Activas / Pasivas 
" Omnidireccionales / Direccionales 


"= Dependen de: 
" lLafrecuencia 
" “Ganancia” (dBi) 
" Angulo de apertura (direccionales) 
" Alcance 


"= Tipos de antena 
" Yagl 
"= Dipolo 
" Parabólica 


Mecanismos de Autenticación WEP y WPA 





"= Para la autenticación de clientes de redes wireless contra un 
Access Point, existen dos métodos: 
"= Autenticación Abierta 
"= Autenticación PSK (Pre Shared Key) o por clave compartida 


"= La autenticación ablerta no provee ningún tipo de mecanismo de 
seguridad, simplemente es un pedido de conexión a la red 


"= Laautenticación por PSK utiliza un mecanismo de desafío- 
respuesta para autenticar y asociar al cliente a la red. 


"= El primer agregado de seguridad al estándar 802.11 fue WEP 
(Wireless Equivalent Privacy). 


Autenticación Abierta (Wep / WPA) 





"= El proceso de autenticación se realiza en texto plano 
"= No se verifica ni al usuario ni al host, es abierta a cualquiera 
"= Normalmente está ligada al uso del sistema WEP 


"= Un cliente puede asociarse al AP con una clave WEP incorrecta o 
incluso sin una clave WEP, pero no podrá enviar o recibir datos, ya 
que la carga de paquetes estará encriptada 


"=  Esimportante aclarar que el encabezado no está cifrado por WEP, 
solo la transmisión de los datos lo está 


Autenticación por PSK 





"= Funciona de manera análoga al caso anterior, solo que agrega un 
paso 


" Laclave compartida requiere que el cliente y el access point tengan 
la misma clave WEP 
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Autenticación por PSK (Cont.) 





Authentication Request 
CLIENTE > AP 


CLIENTE Authentication Challenge AP 


" El equipo que quiere autenticarse (cliente), envía una trama 
AUTHENTICATION REQUEST indicando que quiere utilizar una 
“clave compartida” 


"= El destinatario (AP) contesta enviando una trama que contiene 128 
octetos de texto (desafío) al cliente. 


"= El desafío se genera con la clave compartida y un vector de 
inicialización (IV) aleatorio utilizando un PRNG (Generador de Números 
Pseudo Aleatorios) 
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Autenticación por PSK (Cont.) 





Authentication Request 
CUENTE '”>->>—____________—— + — AP 


Authentication Challenge 


CLIENTE AP 


Authentication Response 
CUENTE ' >> AP 
CLIENTE EROS pp 


Una vez el cliente recibe la trama, copia el contenido del texto de 
desafío en el payload de una nueva trama que encripta con WEP 
utilizando la passphrase (clave compartida) y añade un nuevo IV 
(elegido por el cliente). 


Ya construida esta nueva trama encriptada, el cliente la envía al AP 
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Autenticación por PSK (Cont.) 





Authentication Request 


AP CLIENTE 





Authentication Challenge 


AP CLIENTE 


| Authentication Response Ñ | 
AP >, CLIENTE 


Authentication Result 


AP E. CLIENTE 


"= Se vuelve a repetir el proceso pero esta vez el primero que manda 
la trama con el AUTHENTICATION REQUEST es el AP, de esta 
manera se asegura una autenticación mutua. 
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Autenticación por Dirección MAC 





" No está incluida en las especificaciones del 802.11? 
"= Pero dada su utilidad muchos vendors brindan esa opción 


"= Esto se realiza mediante una ACL que puede estar en el dispositivo 
o bien ser validada frente a un servidor externo 


"= Como contrapartida, para grandes redes, es un trabajo arduo y 
requiere que la documentación esté constantemente actualizada 


"= Dado que viajan en texto plano y que son fácilmente modificables, 
la autenticación por MAC solo es un buen complemento, no se 
recomienda su uso como el sistema principal de autenticación 
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WEP 





"= En 1999 el estándar IEEE 802.11 implementó un sistema de cifrado 
para redes WLAN denominado Wired Equivalent Privacy (WEP) 


"= Especificaba una clave de 40 bits, permitiendo ser exportado y 
usado en todo el mundo aún con las restricciones para la 
exportación del Gobierno de EEUU 


"= WEP está basado en el algoritmo simétrico RC4 (Rivest Cipher 4) 


"= Parautilizar WEP, se debe compartir una clave entre el usuario 
cliente y el AP 
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WEP (Cont.) 





"= Entre las características más importantes de WEP, encontramos: 


Los mensajes se encriptan junto con un CRC de 32 bits, brindando 
Integridad al sistema 


La confidencialidad es mantenida por medio de la encripción con RC4 


Pueden utilizarse claves de 40 bits (incrementadas a 64 bits por medio 
de un vector de inicialización de 24 bits) o de 104 bits (incrementadas a 
128 bits por el mismo l1V). 


Es sencillo de implementar, solo hay que compartir la clave 
Las características anteriores son la debilidad del método 
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WEP (Cont.) 


Si bien el ataque trivial a WEP es utilizando Fuerza Bruta, existen 
una serie de ataques más efectivos. 


Se han desarrollado varios métodos de ataque a este sistema, 
algunos basados en ataques estadísticos, otros inductivos, etc. 


Algunos de ellos son: 
" Ataque inductivo de Arbaugh 
"= Método FMS (Fluhrer-Mantin-Shamir) 
"=  Suoptimización por parte de David Hulton (h1 kari) 
"= Ataque de KoreK 


Algunas aplicaciones que aprovechan estos métodos para vulnerar 
WEP son AlrSnort, Aircrack o WepLab. 
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WEP: Evolución de Vulnerabilidades 





septiembre 
1995 


Octubre 
2000 


Mayo 2001 
Julio 2001 


Agosto 
2001 
Agosto 
2001 
Febrero 
2002 
Agosto 
2004 


Julio! 
Agosto 
2004 


Vulnerabilidad RC4 potencial (Wagner) 


Primera publicación sobre las debilidades de WEP: Insegura 
para cualquier tamaño de clave; Análisis de la encapsula- 
ción WEP (Walker) 

Ataque contra WEP/WEP2 de Arbaugh 

Ataque CRC bit flipping — Intercepting Mobile Communica- 


tions: The Insecurity of 802.11 (Borisov, Goldberg, Wagner) 


Ataques FIMS — Debilidades en el algoritmo de programa- 
ción de RC4 (Fluhrer, Mantin, Shamir) 
Publicación de AirSnort 


Ataques FIMS optimizados por hikarl 


Ataques KoreK (IVs únicos) — publicación de chopchop y 
chopper 

Publicación de Alrcrack (Devine) y WepLab (Sánchez), 
poniendo en práctica los ataques Korek. 
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WPA 





"= Son las siglas de Wi-Fi Protected Access (WPA) 


"=  Esun sistema basado en WEP para proteger las redes inalámbricas 
que mejora sus aspectos débiles. 


"= WPA comparte bastantes características con el estándar |EEE 
802.111 y fue creado como sistema de transición entre WEP y 
802.111 mientras el desarrollo de éste era finalizado. 
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WPA (Cont.) 





WPA fue diseñado para utilizar un servidor de autenticación 
(normalmente bajo RADIUS) que permite distribuir claves diferentes 
a cada usuario, por medio del protocolo 802.1x 


También puede utilizarse en un modo menos seguro, pero más 
simple, a través de claves compartidas manualmente (PSK) 


Este último es muy utilizados para domicilios y pequeñas empresas 
y se lo suele denominar WPA personal 


Además incluye protección contra ataques de repetición (replay) a 
través de un contador para la identificación de las tramas 
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WPA (Cont.) 





Mejoras de WPA respecto a WEP 


"= Se mejoraron las características de cifrado a partir de la implementación de 
TKIP 


"=  TKIP es una implementación mejorada de RC4, aumenta el número de bits de 
las claves a 128 y las gestiona dinámicamente. 


"= Se aumentó el número de bits del IV de 24 a 48 bits 
"= Se incrementa el espacio de claves 
"= Sereduce la reutilización de lvs 


"= Permite Autenticación contra un servidor externo 


"= Se mejoró el chequeo de integridad de la información 
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WPA (Cont. 





" WPAZ2 es similar a 802.111 y utiliza AES para cifrar el payload 


" Pero WPA2 también permite el uso de TKIP por retrocompatibilidad 
con tecnologías anteriores. 


"=  AEsSes considerado como un algoritmo imposible de crackear. 
" Pero para su procesamiento requiere potentes procesadores 
" Dispositivos tales como PDAs, Smartphones, etc no suelen soportarlo 
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WPA (Cont.) 





"= WPA y WPA2 Personal utiliza para la autenticación WLANs 


" WPA y WPA2 Enterprise autentican a sus usuarios a través de 
servidores RADIUS utilizando el estándar 802.1x/EAP 


"= 802.111 y WPA2 utilizan los mismos mecanismos de cifrado y 
autenticación 
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Información Adicional 








La debilidad de los IV facilita el crackeo de la clave 
WEP. Se utiliza la misma clave para autenticar a 
todos los clientes de la red. El CRC utilizado para 

el chequeo de integridad es una función lineal. 





Estándar IEEE 802.11 original 


Passpharse o RADIUS La passphrase es susceptible de ataques por 
(802.1x / EAP) diccionario o fuerza bruta. 


AFS (por 
retrocompatibilidad 
puede usar TKIP) 
AFS (por 
IEEE 802.11i retrocompatibilidad 
puede usar TKIP) 


Passpharse o RADIUS La passphrase es susceptible de ataques por 
(802.1x / EAP) diccionario o fuerza bruta. 


Passpharse o RADIUS La passphrase es susceptible de ataques por 
(802.1x / EAP) diccionario o fuerza bruta. 
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WEP/WPA 


Herramientas propuestas por CEH: 
"=  Aircrack 

"=  Airsnort 

"= WEPCrack 

"= Kismet 

"= Netstumbler 

" SMAC 
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Herramientas WiFI: Backtrack 











3 Remote-Exploit.org - Suppiying offensive security products to the world - Mozilla Firefox 


Pz 
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36 


Wireless Sniffers y Localización de SSIDs 





" Los ataque más comunes a redes inalámbricas incluyen técnicas de 
sniffing O eavesdropping 


"=  Esun modo sencillo para realizar un ataque sobre redes 
inalámbricas cuyos APSs están configurados por defecto, ya que los 
paquetes usualmente están sin cifrar. 


"= Algunas contraseñas de protocolos como FTP, POP3 y SMTP 
pueden ser capturadas en texto plano por un atacante si la red no 
está cifrada 
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Wireless Sniffers y Localización de SSIDs (Cont.) 





"= Como se vio anteriormente, el SSID se utiliza para identificar 
distintas redes. 


" El SSID es parte de un paquete de gestión (beacon frames) en texto 
plano. 


"= Una medida extra de seguridad es ocultar el SSID para que no sea 
publicado por el AP. 


"=  Detodas formas, algunas herramientas pueden identificar el SSID 
incluso si está oculto. 


"= Esto lo hacen sniffeando la red y esperando que un cliente válido 
pregunte por el nombre de la red que se está intentando ocultar 
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Rogue Access Point 





"= Un Rogue Access Point es un dispositivo colocado en la red sin la 
correspondiente autorización. 


" Por ejemplo un empleado conecta un AP a una boca de red y habilita 
una red wireless no oficial dentro de la oficina. 


"= Este AP abre una brecha de seguridad en la red, ya que permitiría 
que quien se asocie al mismo, salte las restricciones de seguridad 
propias de la red WIFI oficial. 


"= Un atacante podría conectar un Rogue AP en la red corporativa y 
obtener un acceso paralelo a la misma. 


"= Por esta razón es importante que las organizaciones posean 
políticas de conectividad inalámbrica que incluyan escaneos de la 
red wireless periódicos. 

"= De esta manera se detectaría cualquier Rogue AP conectado. 
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Técnicas de Wireless Hacking 





La mayoría de los ataques a redes inalámbricas están definidos por 
alguna de las siguientes categorías: 


"= Mecanismos de autenticación y cracking del cifrado 


"= Estos incluyen WEP, WPA PSK, y Lightweight EAP authentication 
(LEAP) de Cisco. 


"= Un atacante puede conectarse a la WLAN utilizando credenciales 
robadas o capturando tráfico de otros usuarios válidos y crackeando el 
cifrado. 


"= Eavesdropping o sniffing 


" Implica capturar contraseñas u otro tipo de inforamción confidencial a 
partir de una WLAN no cifrada 
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Técnicas de Wireless Hacking (Cont.) 





"= Denegación de Servicio 


" Un ataque de DoS puede realizarse desde la capa física del modelos 
OSI (capa 1) utilizando dispositivos que generan una fuerte 
interferencia de RF, imposibilitando a los clientes conectarse a él. Esta 
técnica se denomina jamming. 


" También puede llevarse a cabo desde la capa de enlace (capa 2), más 
precisamente la capa LLC, a partir de la generación de paquetes de 
desautenticación (Deauth atack) o por la generación continua de 
paquetes bogus (Queensland attack) 
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Técnicas de Wireless Hacking (Cont.) 





" Enmascaramiento de AP o spoofing 
"= Los Rogue APs pretenden hacerse pasar por AP legítimos y hacer que 
los clientes se conecten a ellos. 
"= De esta manera, el cliente utiliza sus credenciales válidas en el AP 
falso. Karma es una herramienta que realiza esto. 


"= MAC spoofing 
"= Un atacante podría saltear la autenticación por MAC 
"= El atacante falsifica la dirección utilizando una dirección válida, de esta 
manera saltea el filtro MAC 
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Ataque a una WLAN 





Paso 1: Buscar redes para atacar 

Paso 2: Seleccionar una red para atacar 
Paso 3: Analizar la red 

Paso 4: Craquear la clave WEP 

Paso 5: Sniffear la red 
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Ataque a una WLAN (Cont.) 





"= Paso 1: Buscar redes para atacar 


"= Un atacante debe utilizar primero Netstumbler o herramienta similar 
para obtener un mapa de las redes wireless activas. 


"= Utilizando Netstumbler, el atacante localiza señales de una WLAN. 


"= Netstumbler no solo tiene la habilidad de monitorear todas las 
conexiones de red activas en un área, también puede ser integrado con 
un GPS para mapear los access point. 
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Ataque a una WLAN (Cont. 





¿ Network Stumbler - [Virginia] 5 
(8) A] Ele Edit View Device Window pe [PiX 
¡D S ¡=] p> » de Es El 2, SE lá 


+ “8 Channels ns 1580 Inmo TO IspcalVo. TY TErenpen 15.159. [Nao [Seed Tse Tao — Tiago 











+ SSIDs Ó'000C41.... linksys 11 M... Lin... -100 N38"42556' — W?7711.586 

+ Y Filters (O 00095B9... NASHAT : 1 11M... Net... ap ES -100 lS N38"42592 — W?7711.869 
(6) 0040965... PEAP 6 11M... Cisco AP WEP -81 -100 19 N38"42575 — W?7711.926 
€ 00032FO... default 1 22M... GS... AP -29 -100 21 N38%42567 — W7711.944 
(2 000B062... Motorola 1 11M... Mot... AP WEP -25 -100 25 N3842413 — W?7?12.250 
(3) 00AOFS... dOllartreeInc 1 11M. Sy... AP WEP -18 -100 22 N38"42.265' — W?7712.389 
O 00C049... Afton2 11 54M... US.. AP -81 -100 19 N38"42059 — W?7?712.610 
(7) 000625D... linksys 6 54M... Lin... AP -82 -100 18 N38"42026 — W?7712.645 
O 00E098.... 042411269586 6 54M... Ab... AP -710 -100 30 N38"41.991* — W77"12.680' 
(8) 00095B.... LCAC2 11 54M... Net... AP WEP -18 -100 22 N38"41.909 — W7712.768 
(6) 00095B9... LCAC 11 54M... Net... AP WEP -25 -100 25 N38"41.392 —W?7712.788 
00012170... linksys 8 54M... (Fa... AP -77 100 23 N38"41.343 — W?7712837 
(4 000C41.... linksys 6 11M... Lin... AP -80 -100 20 N38"41.793 — W?7712.888 
(8 0006256... office 6 11M... Lin... AP WEP -81 -100 19 N38%41.793 — W?7712.3888 
O 0004E28... SMC 6 11M... SMC AP -77. 100 23 N38%41.777 — W?7?F12.906 
(8) 000FE60... eyo 1 11M. Lin... AP WEP -12 100 28 N3841.3810" ”'” W?712.871' 5 
( 000625E... basn1970 6 11M... Lin... AP -64 -100 36 N38"41.326 — W?7712854 ME 
€ 000F3D... default 6 54M... AP -83 -100 17 N38%41.743 — W?7712942 
(0006255... linksys 6 11M... Lin... AP -211  -100 29 N3841.726 — W?7?712.960' 
(' 00E098.... 042409051419 6 54M... Ab... AP -215 -100 25 N38"41.692 — W?7712.995 
(70012255... motorola 2C 1 11 54M... (Fa... AP -716 -100 24 N38"41.643 — W?7?713.045 
O 000C41... linksys 6 11M... Lin... AP -25 -100 25 N38"41.658 — W?7713.029 
20000411... dixond 6 11M... Lin... AP WEP -85 -100 15 N38"41.628 — W?7713.060' 
()'00C049.... USR8054 1 54M... US.. AP -18 -100 22 N3841.576 — W?7?713.100' 
(8) 00095B.... 11 11M... Net... AP WEP -17 100 23 N38"40.8330". — W?7713.555 
2'D22AB4... videotn2 1 (Us... P... WEP -29 -100 21 N38"40.460"'”— W?7714.316 
C'000DBC... Wayport_Access 1 11M... Cisco AP -83 -100 17 N38"40.2322 — W?7?715.080' 
€ 000E838... Wayport_Access 1 11M... Cisco AP -84 -100 16 N38"40.232 — W?7?715.080' 
(2) 000C416... linksys 1 11M. Lin... AP WEP -80 -100 20 N38"39.986 — W?7716.335 
(2) 000625F... homex4 6 11M... Lin... AP WEP -18 -100 22 N38"39.986 — W?7716.335 
O 02D6F1... Virginia Tech 10 11M... (Us... P.. 67 -100 33 N3839514  — W?7716.692 
(7 0006259... linksys 6 11M... Lin... AP -219  -100 21 N38"39.073 — W?7716.973 
(6) 004096A... 1  11M.. Cisco AP WEP -81 -100 19 N38"39.016' — W?7716.970' 
o 00095Bg8... 11 54M... Net... AP WEP -82 -100 18 N38"36.929 — W?717.941' 3 
7 AARAr a to E sn unn na | Ina nm rm nr a 

Ready A GPS: Timed out 357 / 357 
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Ataque a una WLAN (Cont.) 





" Paso 2: Seleccionar una red para atacar: 
"= En este punto, el atacante ya selecciono un objetivo. 
"= Netstumbler o Kismet pueden decirle si la red esta cifrada o no. 
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Ataque a una WLAN (Cont. 








= gkismet 
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Ataque a una WLAN (Cont.) 





" Paso 3: Analizar la red: 
" Determinar sl: 

" La WLAN no realiza broadcasting de SsID. 
" NetStumbler identifica el SSID. 
"= Múltiples access points están presentes. 
"= Método de autenticación abierto. 
" La WLAN esta cifrada con WEP de 40bit. 
" La WLAN no esta utilizando 802.1X. 
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Ataque a una WLAN (Cont.) 





Paso 4: Craquear la clave WEP: 


El atacante configura la interface Wireless en modo monitor. 
Luego captura paquetes con Alrodump. 

Airodump lista las redes disponibles con su SSID e inicia la 
captura de paquetes. 

Después de algunas horas capturando con Alrodump, lanza 
Aircrack para iniciar el cracking. 

La clave WEP es revelada. 
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Ataque a una WLAN (Cont.) 


Paso 5: Sniffear la red: 


" Una vez que la clave WEP es revelada y la WNIC es configurada 
correctamente, una IP le es asignada al atacante y ahora puede 
acceder a la WLAN. 

" El atacante puede sniffear trafico con Ethereal. 


" Puede realizar un sniffing de los protocolos en texto plano como FTP, 
POP o Telnet en busca de contraseñas. 
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Obtención de Clave WEP Bajo Linux 





"=  —Enentornos linux, con aircrack-ng y alrcrack-ptw, en una serle de 
5 pasos se puede obtener una clave WEP con suma facilidad. 


1. Habilitando modo monitor con airmon-ng 
2. Captura de paquetes con airodump-ng 
3. Determinación de filtrado MAC 
"=  —Desautenticación con aireplay-ng* 
4. Re-inyección con aireplay-ng 
9. Decryption with aircrack-ng á aircrack-ptw 


*Si existe filtrado por MAC 


9] 
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1. Habilitando modo monitor con "alrmon-ng" 
+ airmon-ng start <interfase> <canal> 

















Session Edit View Bookmarks Settings Help 


¡$ sudo alrmon-ng start rausb 11 


interface Chipset Driver 


ethl Centrino bg 
PausbO A 


Nh Dr mb Ñ Patched Ralink dewlce 


[65] lam shell | 
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lave WEP Bajo Linux (Cont, 





2. Captura de paquetes con "alrodump-ng" 
* airodump-ng -——Channel <canal> -—-—-bssid 


MAC_objetivo -—-write <capturas> <interfase> 


CH 11 ][ BAT: 23 mins ][ Elapsed: 1 min ][ 2007-08-17 21:39 

BSSID PAR. FXQ. Beacons ¿Data, +/s CH MB ENC  CIPHER AUTH ESSID 
67 100 617 172 O 11 11 WEP WEP | 
STATION PAR. Lost Packets Probes 


00:09:56:D7:43:48 94 801 182 
] ar 


[5]| lam shell | 
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Obtención de Clave WEP Bajo Linux (Cont.) 





3. Determinación de filtrado MAC 
+ aireplay-ng -1 0 -e <SSID_objetivo> -a 
MAC_objetivo -h MAC_spoofeada <interfase> 


SI se obtiene un resultado como el mostrado a continuación, no 
existe filtrado de dirección MAC. 


18:22:32 Sending Authentication Request 
18:22:32 Authentication successful 
18:22:32 Sending Association Request 
18:22:32 Association successful :-) 


En ese caso, se saltea el paso de des-autenticación. 
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Obtención de Clave WEP Bajo Linux (Cont.) 





"= Desautenticación con "alreplay-ng* 


+ aireplay-ng -0 5 -—a MAC_objJetivo -Cc 
MAC_ spoofeada <interfase> 


Al existir filtrado por direcciones MAC, la MAC_spoofeada debe 
ser la dirección MAC de un cliente válido. 
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Edit View Bookmarks Settings 


¡$ sudo alreplay-ng -0 5 -a 00:09:5B:D7:43:48 -c E 





























Sending DeAuth to station STMAC: 
Sending DeAuth to station STMAC: [En 
Sending Debuth station STMAC: [Em 
Sending DeAuth station A 
sending DeAuth station STHMAC: [5% 


rt: 
dl rs 
A p 
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Obtención de Clave WEP Bajo Linux (Cont.) 


4. Re-inyección con "aireplay-ng* 


+ alireplay-ng -3 -Lb MAC_objetivo -h MAC_spoofeada 
<interfase> 


Si no existe filtrado por direcciones MAC, la MAC_spoofeada 
puede ser cualquier dirección MAC. 


Si existe filtrado por direcciones MAC, la MAC_spoofeada debe ser 
la dirección MAC de un cliente válido. 


9/ 


View Bookmarks Settings Help 














e ee e A ——— 
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lhelgegWinnie: E sudo aireplay> ng -3 -b 00:09:58:D7:43:A8 -h (1 
fThe interface MAC (00 3) doesn't match the specified MAC 
| 1fcontig rausbO hw ether El | 
[Saving ARP requests in Es a ed cap 


You should also star E e replies. 
| aan A sts), sent 7019 packets... (56 


' requests generating traffic Detv 


JT 
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I), 


= rausbO 











| Al sl Shell 
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Obtención de Clave WEP Bajo Linux (Cont.) 





5. Crackeo del password con "aircrack-ng" y "aircrack-ptw" 
+ aircrack-ng <capturas>.cap 
+ ./alrcrack—-ptw <capturas>.cap 


La diferencia entre alrcrack-ng y alrcrack-ptw radica en la cantidad 
de paquetes que requiere capturar cada herramienta. Á 
continuación se detalla esto: 


Aircrack-NG: 
64-bit key: “250,000 paquetes 
128-b1t key: “1,500,000 paquetes 


A1ircrack-PIW: 


64-bi1it key: “20,000 paquetes [estimado] 
128-b1t key: “85,000 paquetes 
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| Session Edit View Bookmarks Settings Help 


Aircrack-ng 0.9.1 


[00:00:02] Tested 189 keys (got 210409 IVs) 
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KEY FOUND! ¿0B:FE: 66: 0D: 35F:61:00:3E: 79: CD: 7E: 
Decrypted corren E 


orrect HEX key 


2 -¿TEMPS | 
[A] mtshell | 
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Métodos de Securización 





"= Los métodos utilizados para securizar una red wireless pueden ser 
caracterizados según las capas del modelo OS]. 


"= Para la Capa 2 (capa de enlace): 
" WPA 
" WPA2 
"= 802.11! 


"= Para la Capa 3 (capa de red) 
"= |Psec 
"= SSL VPN 


"= Para la Capa 7 (capa de aplicación) 
"= Utilizar protocolos o aplicaciones seguras tal como: 
"= Secure SHell (55H) 
"= HTTP Over SSL (HTTPS) 
" FTP/SSL (FTPS) 
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Métodos de Securización (Cont.) 





"=  Acontinuación se detallan algunos métodos complementarios de 
seguridad. 

"= Autenticación por dirección MAC 

"= Esconder el SSID 

" Usar claves fuertes 
"= Set de caracteres alfanuméricos 
"= Mayúsculas y minúsculas 
= Caracteres especiales (O, $, +, ., etc) 
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Wireless Hacking 





Links, Referencias y 
Lecturas Complementarias 





Links 





"=  Netstumbler - http://www.netstumbler.com/ 
"=  Airsnort - http://airsnort.shmoo.com/ 
"=  Kismet - http://www.kismetwireless.net/ 
"=  Aircrack-NG - http://www.aircrack-ng.org/ 
"=  Aircrack-PTW - http://www. .wirelessdefence.org/Contents/Aircrack-ptw.htm 
"=  BacklTrack 3 - http://www.remote-exploit.org/ 
"= WiFi Slax - http://www.wifislax.com/ 
"= Diferencias entre aircrack-ng y alrcrack-ptw 
http://www .wirelessdefence.org/ 
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Referencias y Lecturas Complementarias 





"=  CEH Official Certified Ethical Hacker Review Guide 
By Kimberly Graves 
(Sybex) ISBN: 0782144373 a 
= Certified Ethical Hacker Exam Prep Certified 
| Ethical Hacker 
By Michael Gregg 
(Que) ISBN: 0789735318 
"= Hacking Exposed, Fifth Edition 
By S.McClure, J.Scambray, and G.Kurtz 
(McGraw-Hill Osborne Media) ISBN: 0072260815 
"= Gray Hat Hacking, Second Edition 
By S.Harris, A.Harper, C.Eagle, J.Ness 
(McGraw-Hill Osborne Media) ISBN: 0071495681 
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